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Methods and systems for the authentication of 
accreditation or messages and of message 
signatures. Instead of using multiple 
accreditations and an iterative verification 
process, deep-level accreditation is adopted 
(high exponent p), and a number D between 0 
and p-1 is drawn at random. The verification 
operations include calculation of the Dth power of 
the inverse accreditation B. The invention is used 
particularly for chip cards and more especially for 
bank cards. 
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(54) Procedes d'authentification d'accreditations ou de messages a apport nul de connaissance et de signature de 
messages. 



(57) Au lieu d'utiliser des accreditations multiples et un pro- 
cessus iteratif de verification, on utilise une accreditation pro- 
fonde (exposant p eleve) et on tire au hasard un nombre D 
compris entre 0 et p— 1. Les operations de verification pas- 
sent par ie calcul de la puissance D ieme de I'accreditation 
inverse B. 
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PROCEDES D'AUTHENTIFICATION D' ACCREDITATIONS OU DE 
MESSAGES A APPORT NUL DE CONNAISSANCE ET DE SIGNATURE 
DE MESSAGES 

5 DESCRIPTION 

La presente invention a pour objet des proceeds 
d'authentification d'accreditations ou de messages a apport nul 
de connaissance et un precede de signature de messages. 

L'invention trouve de nombreuses applications dans La 

10 verification de I'authenticite de cartes bancaires dites "a 
puces" ou plus generaLement de I'authenticite de tout support 
permettant a son detenteur de commander un acces, (a un local, a 
un coffre, a une banque de donnees, a un systeme informatise, a 
une ligne te lephonique, etc.). EUe s'applique egalement a la 

15 verification de I'authenticite de messages de toute nature, ces 
messages pouvant commander une ouverture ou une fermeture, 
I'enclenchement ou I'arrSt d'un systeme, la commande de la mise a 
feu d'un engin, la commande d'un satellite, te declenchement 
d'une alerte etc... Enfin, l'invention permet de signer des 

20 messages de telle maniere que leurs destinataires soient assures 
de leur provenance, et puissent a leur tour convaincre un tiers 
sur cette provenance. 

L'invention s'appuye sur deux branches de la 
cryptographic qui sont respect ivement la cryptographie a cle 

25 revelee (ou a cle publique) et les procedures de verification a 
apport nul de connaissance. Bien que l'invention ne concerne pas 
un procede de chiffrement, il n'est pas inutile de rappeler en 
quoi consistent ces deux techniques. 

De tout temps le maintien du secret des communications 

30 a ete une preoccupation. Aujourd'hui que les systemes de 
telecommunications proliferent, il est devenu un probleme majeur. 
De ce fait, les techniques de chiffrement et de dechiff rement ont 
progresse considerablement ces dernieres annees. Ce progres a 
d'ailleurs ete encore accele>e par I'avenement des calculateurs, 
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qui ont permis d'6laborer des cryptosystemes a hautes 
performances. 

Dans un cryptosysteme, un message H, dit message en 
clair, est transform* a I'aide d'une cLe E, pour donner un 

5 message E(M) dit message chiffr*. A ta cle E correspond une cle 
inverse D qui permet de retrouver le message en clair par une 
transformation inverse : D(E(M))=M. 

Dans les techniques traditionnelles Les deux cles E et 
D sont tenues secretes et ne sont connues que des seuls 

10 interlocuteurs. 

Cependant, un cryptosysteme original a 6te developpe 
ces dernieres annees, dans lequeL la cl6 de chiffrement n'est 
plus tenue secrete mais est, au contraire, revelee. 
Paradoxalement, cette revelation n'affaiblit en rien la securite 

15 du systeme. En effet, il se trouve que le chiffrement utilise une 
fonction telle que la connaissance de la cle E ne permet pas, 
dans la pratique, de retrouver la cle D de dechiff rement. On 
parle alors, de maniere imagee, d'une fonction "trappe" pour la 
fonction de chiffrement, fonction qui est particulierement 

20 difficile a inverser, sauf pour celui qui conna^t la valeur de la 
trappe. 

Les principes generaux de ces systemes ont ete decrits 
dans I'article de W. DIFFIE et M. HELLMANN intitule "New 
Directions in Cryptography" publie dans IEEE, Transactions ou 
25 Information Theory, vol. IT-22, pp 644-654, Nov. 1976. 

On peut aussi' consulter a ce sujet I'article de K. 
HELLMAN intitule "The Mathematics of Public-Key Cryptography" 
public dans Scientific American d'AoGt 1979, vol. 241, n°2, pp 
130-139 ou sa traduction francaise dans I'edition de "Pour la 
30 Science" sous le titre "Les Mathematiques de la Cryptographic a 
clef revelee", Octobre 1979, vol. n°24, pp 114-123. 

Les principes theoriques de la cryptographic a cle 
revelee ont pu §tre mis en application de maniere 
particulierement efficace dans un systeme dit RSA (des initiates 
35 de ses inventeurs Ronald RIVEST - Adi SHAMIR et Leonard ADLEMAN). 
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Ce systeme est decrit dans (.'article de Martin GARDNER intitule 
"A new kind of cipher that would take millions of year to break" 
publie dans Scientific American, AoOt 1977, pp. 120-121. Dans le 
systeme RSA la fonction trappe est la factorisation d'un nombre 
en elements premiers. On sait que I'operation de factorisation 
est I'une des plus difficiles de I'arithmetique. Par exemple pour 
trouver, a la main, les facteurs premiers d'un nombre modeste a 5 
chiffres comme 29 083, il faut quelques minutes. Ces nombres sont 
127 et 229. Mais I'obtention du produit de 127 par 229 ne prend 
que quelques secondes. L'asymetrie d'une telle operation est done 
flagrante. Naturellement, le recours a un ordinateur accelere la 
factorisation mais il demeure que, pour factoriser un nombre de 
deux cents chiffres, mime en mettant ensemble Les ordinateurs les 
plus puissants ordinateurs. 

En pratique done, on ne sait pas factoriser un tres 
grand nombre. 

Ces proprietes sont exploiters dans le systeme RSA de 
la maniere suivante. On choisit deux nombres premiers distincts, 
soit a et b, et on en forme le produit, soit N=a.b. On choisit 
egalement un entier p, qui est premier avec le plus petit commun 
multiple de Ca-1) et (b-1). Pour chiffrer un message, 
prealablement mis sous forme numerique H, M etant compris entre 0 
et N-1, on calcule la puissance pieme de K dans I'anneau des 
entiers modulo N, soit C=H P mod N. (On rappelle que La valeur 
d'un entier x modulo un entier y est egale au reste de la 
division de x par y ; ainsj, 27 modulo 11 est egal a 5, car 27 
divise par 11 donne 5 comme reste). La fonction "elever a la 
puissance p modulo N" definit alors une permutation des entiers 
de 0 a N-1 . 

Pour dechiffrer un message tet que C il faut extraire 
la racine pieme du message chiffre C dans I'anneau des entiers 
modulo N. On montre que cette operation revient a elever le 
nombre C a La puissance d, d etant I'inverse de I'exposant p 
modulo le plus petit commun multiple des nombres (a-1) et (b-1). 
Si I 'on ne connait pas Les facteurs premiers a et b, La 
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determination de d est impossible et avec elle, I'operation de 
dechiff rement. 

Par exemple, en choisissant a=47 et b=59, on obtient 
N=47. 59=2773. On peut prendre p=17. La cle de codage est done 
5 definie par les deux nombres 2773 et 17 (naturellement, dans ta 
pratique, les nombres utilises sont beaucoup plus grands que dans 
cet exemple). 

Le codage d'un mot « se presentant sous forme du nombre 
92D s'effectue par I'operation suivante : 
10 C = 920 1? mod 2773 

soit C = 948 mod 2773. 

Inversement, pour dechiffrer le nombre 948, on 
utilisera un exposant d inverse de 17 modulo 1334 qui est le ppcm 
de 46 et 58. Cet exposant d est 157 car 157.17=2669 soit 1 modulo 
15 1334. Dechiffrer 948 revient done a calculer 948 157 mod 2773 soit 
920, ce qui est bien le message initial. 

Ainsi, dans le systeme RSA, les nombres N et p peuvent 
ils §tre publics Con parle alors de la "puissance publique p"), 
mais les nombres a et b doivent rester secrets. 
20 Naturellement, il est toujours possible d'utiliser plus 

de deux facteurs premiers pour constituer le nombre N. 

Le systeme RSA est decrit dans le brevet des Etats-Unis 
d'Amerique n°4,405,829 delivre le 20 Septembre 1983. 

Un tel systeme peut non seulement servir a chiffrer 
25 mais aussi a signer un message. 

Dans le contexte de la signature de messages une entite 
censee emettre des messages M, entite appelee signataire, est 
reputee travailler avec une cle publique CN, p). Cette entite, 
pour signer ses messages avant emission, y ajoute une redondance 
30 pour obtenir un element de I'anneau des entiers modulo N, puis 
eleve cet element a la puissance d (inverse de p) modulo N. 
L'entite en question, detenant les parametres secrets de la cle 
publique, e'est-a-dire les deux facteurs premiers a et b, connait 
d. Le message signe est done S= ^Red(M)^ mod N. 
35 Pour verifier la signature, le destinataire du message 
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utilise la cle publique (N, p> attachee a I'entite emettrice et 
calcule S mod N, ce qui, par hypothese redonne I'element codant 
le message M avec sa redondance. En retrouvant la redondance le 
destinataire en conclut ainsi que le message n*a pu *tre envoye 

5 que par I'entite qui pretend I'avoir fait, puisque seule, celle^ 
ci, etait capable de traiter le message de cette maniere. 

Naturellement, les deux operations de chiffrement et de 
signature peuvent se combiner. Dans ce cas, I'emetteur commence 
par signer son message en utilisant sa cle secrete ; puis il le 

10 chiffre en utilisant la cle publique de son correspondant. A la 
reception, le correspondant dechiffre le message a L'aide de sa 
cle secrete, puis authentifie le message en utilisant la cle 
publique de I'emetteur. 

Ces techniques de cryptographie conduisent ainsi a des 

15 methodes d* authentication (d'un support, d'un message, etc.). 
Pour exposer plus en detail cet aspect, qui est au coeur de 
I'invention, on prendre comme exemple I'authentif ication des 
cartes bancaires dites "a puce", sans que cela constitue 
naturellement en quoi que ce soit une limitation de la portee de 

20 I'invention. Le procede decrit ci-apres est utilise dans les 
cartes bancaires a puce emises aujourd'hui en France et en 
Norvege, la generalisation des puces dans les cartes bancaires 
est en cours dans ces deux pays. 

Une carte bancaire a puce possede une identite, qui est 

25 constitute par un encha^nement d' informations telles que Le 
numero de serie de la puce, le numero du compte bancaire, une 
periode de validite et un code d'usage. La carte peut donner, sur 
demande, ces informations d' identite, qui se presentent sous 
forme d'une suite de bits formant un mot I. 

30 A I'aide de regies de redondance, on peut constituer un 

nombre J deux fois plus long que I qu'on notera par la suite 
Red(I)=J. Par exemple, si le nombre I s'ecrit sous forme de 
quartets, chaque quartet peut Stre complete par un quartet de 
redondance de maniere a former autant d'octets de type a codage 

35 de HAMMING. Le nombre J est appele souvent l' identite "ombragee" 
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(I'ombre etant constitute en quelque sorte par La redondance qui 
accompagne 1'identite). 

L'Organisation Internationale de Normalisation (ISO) a 
precise ces questions dans la note ISO/TC97/SC20/N207 intitulee 
5 "Digital Signature with Shadow" devenue avant projet de norme 
DP9796. 

L'autorite habilitee a delivrer de telles cartes, en 
I'occurrence la banque, choisit un systeme a cle publique (N, p). 
Elle publie les nombres N et p mais garde secrete la 

10 factorisation de N. L'identite ombragee J de chaque carte est 
alors consideree comme un element de I'anneau des entiers modulo 
N. La banque peut en extraire la racine p ieme dans cet anneau 
(ce qui, comme expose plus haut, necessite la connaissance'des 
facteurs premiers de N, ce qui est le cas). Ce nombre, note par 

15 la suite A, est en quelle que sorte l'identite de la carte signee 
par la banque. On I'appelle "accreditation". On a done par 
definition A=J 1/p mod N. 

Authentifier une accreditation revient alors a lire 
l'identite de la carte, soit sous la forme simple I, soit sous la 

20 forme ombragee J, puis a lire I'accreditation A dans la carte, a 
elever celle-ci a la puissance p dans I'anneau des entiers modulo 
N <ce qui est possible puisque les parametres N et p sont connus) 
et a comparer enfin le resultat, soit A P mod N, a J. Si A P mod N 
est egal a J alors I'accreditation A est authentique. 

25 Si cette methode permet de detecter des fausses cartes 

dont les identites auraient ete elaborees de maniere fantaisiste, 
elle presente neanmoins un inconvenient qui est celui de reveler 
I'accreditation des cartes authentiques. Un verificateur peu 
scrupuleux pourrait done reproduire des cartes identiques a celle 

3Q qu'il vient de verifier (cartes que I'on pourrait appeler des 
"clones") en reproduisant I'accreditation qu'il a lue dans la 
carte authentique. 

Or, I'authentif ication d'une accreditation ne requiert 
pas, en toute rigueur, la communication de celle-ci au 

35 verificateur, mais seulement I'etablissement d'une conviction que 
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la carte dispose d'une accreditation authentique. Le probleme est 
done fina lenient de demontrer que la carte detient une 
accreditation authentique, sans reveler celle-ci. 

Ce probleme, qui setnble insoluble a premiere vue, peut 

5 cependant *tre resolu par une procedure dite de preuve par apport 
nul de connaissance ("zero-knowledge proof"). Dans une telle 
procedure, I'entite qui tente d'apporter la preuve Cet que I'on 
appellera par la suite le "verif ie"> et I'entite qui attend cette 
preuve (et qu'on appellera le "verificateur") adoptent un 

10 comportement interactif et probabi liste. 

Cette technique a ete decrite par Shafi GOLDWASSER, 
Silvio HICALI et Charles RACKOFF dans leur communication au "17th 
ACM Symposium on Theory of Computing" qui s'est tenu en Mai 1985, 
communication intitulee "The Knowledge Complexity of Interactive 

15 Proof Systems" et publiee dans les Comptes Rendus pp. 291-304. Les 
premiers exemples ont ete trouves en theorie des graphes. 

Adi SHAMIR a pense le premier a utiliser ce procede en 
theorie des nombres et on pourrait t'appliquer aux cartes a puces 
de la maniere suivante. Ce procede, que I'on appellera par la 

20 suite procede S, est le suivant. 

Au debut de la transaction d'authentifi cation, la carte 
proclame son identite I. Les regies de redondance connues de 
tous, permettent de deduire J, deux fois plus long que I, qui 
correspond a I'identite ombragee. La carte et le verif icateur 

25 connaissent tous deux les nombres N et p publies par I'emetteur 
de cartes, mais seul ce dernier dispose de la factorisation du 
nombre N, qui est I'information de trappe utilisee pour calculer 
les accreditations. 

La transaction d'authentif ication se poursuit en 

30 repetant le traitement suivant : 

- la carte tire au hasard un element r de I'anneau des 
entiers modulo N, en calcule la puissance p ieme (r P mod N) dans 
I'anneau, et transmet cette puissance au verificateur en guise de 
titre T pour I'iteration ; 

35 - le verificateur tire au hasard un bit d (0 ou 1) (ou 
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si L'on veut, tire a pile ou face) pour demander a la carte en 
guise de temoin t : pour pile l* element r, et pour face le 
produit de I'element r par I'accredition dans I'anneau Cr.A mod 
N) ; autrement dit, dans I'incertitude du tirage le verifie doit 
5 tenir disponible r et r.A mod N ce qui impLique la connaissance 
de A ; 

- le verificateur eleve le temoin t a la puissance p 
modulo N pour retrouver : pour pile, le test T, et pour face le 
produit dans I'anneau du titre T par I'identite ombragee J. 

10 Ainsi, d'une part, il faut disposer de l'accr$ditation 

A pour posseder simultanement les deux valeurs possibles du 
temoin t, soit r et rA. O'autre part, le verifie ne peut deduire 
de cette transaction la valeur A de I'accreditation car, m§me 
s'il demande au verifie de lui fournir rA, il ne connait pas r, 

15 qui a ete tire au hasard par le verifie (le verificateur connait 
bien r p , fourni comme titre par le verifie, mais il est incapable 
d'en extraire la racine p ieme modulo N, puisqu'il ne conna^t pas 
la factorisation de N). 

Le verifi6 qui ne serait pas d^tenteur d'une 

20 accreditation authentique pourrait bluffer en tentant de deviner 
le tirage du verificateur. S'il parie sur "0" ("pile") il estime 
que le verificateur elevera le titre a la puissance p modulo N et 
que le verificateur comparera le resultat obtenu au titre T. Pour 
convaincre le verificateur, le verifie devra fournir comme titre 

25 T le temoin eleve a la puissance p. Si le bluffeur parie au 
contraire sur "1" ("face") il estime que le verificateur elevera 
le titre a la puissance p et multipliera ensuite le resultat 
obtenu par J. II lui faut done, pour convaincre, transmettre 
comme titre T, le temoin eleve a la puissance p multiplie par J. 

30 Autrement dit, le verifie a une chance sur deux de 

donner une bonne rSponse s'il renverse la chronologie des 
evenements, e'est-a-dire s'il determine non pas d'abord le titre 
T puis le temoin t, mais s'il parie sur le tirage du verificateur 
et s'il constitue le titre a posteriori a I'aide d'un temoin tire 

35 au hasard. 
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Dans ce processus probabiliste, Les chances du verifie 
de deviner la bonne reponse sont de une sur deux a chaque 
traitement, de sorte qu'en regetant ce traitement k fois, les 
chances du bluff eur tombent a 1/2 . Le facteur de securite de ce 

5 procede d'authentifi cation est done de 2 . En pratique, k est de 
I'ordre de 16 a 24. 

Dans un tel procede le nombre p est petit, par exemple 
3. On peut aussi utiliser 2, mais dans ce cas certaines 
precautions doivent *tre prises dans le choix des facteurs 

10 premiers du nombre N pour que la fonction "elever a'u carre modulo 
N" soit une permutation sur les residus quadratiques de I'anneau 
des entiers modulo N. Les nombres a et b doivent «tre des entiers 
de la forme 4x+3 ; on rappelle que les residus quadratiques sont 
des elements qui sont des carr£s dans I'anneau et l'identite 

15 ombragee J doit pouvoir 8tre modifiee en un residu quadratique 
representatif avant de calculer I'accreditation. Cette solution 
est decrite dans le document deja cite IS0/TC97/SC20/N207. 
D'autres solutions existent cependant. 

L'entier N, comme dans ^les cartes bancaires 

20 aujourd'hui, peut etre de la forme N=K+2 ou K est un entier de 
240 bits publie et connu de tous les terminaux. Seul I'emetteur 
de cartes dispose de la factorisation de N. II est tout de meme 
conseille de prendre des nombres composes plus grand. 

L'identite I, comme dans les cartes bancaires 

25 aujourd'hui, peut §tre un motif de 160 bits, obtenu par le 
chatnage d'un numero de s^rie de la puce de 44 bits, d'un numero 
de compte bancaire de 76 bits, d'un code d'usage de 8 bits et 
d'une periode de validite de 32 bits. L'identite ombragee 
presente alors 320 bits. L'accreditation est alors la racine 

30 cubique de ce mot, modulo N. C'est un nombre de 320 bits. 

Un perfectionnement de cette technique consiste a 
utiliser non pas ^accreditation elle-m§me A (A P mod N=J) mais son 
inverse, note B. On a alors B P J mod N=1 ce qui permet de 
simplifier la comparaison du titre et du temoin. En effet, il 

35 suffit alors de transmettre un temoin egal a r(dB-d+1) (qui est 
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egal soit i r si d=0 soit a rB si d=1 et de calculer t P (dJ-d+1) 
mod N pour trouver le titre T. Ce dernier peut alors n'*tre 
transmis que partiellement, par exemple sous forme d'une centaine 
de ses bits ou encore niieux apres une compression par une 

5 fonction a sens unique. 

On rappetle qu'une fonction de compression fait 
correspondre a un ensemble de n elements un ensemble de m autres 
elements, m etant inferieur a n et tel qu'il sont pratiquement 
impossible de localiser deux elements ayant mSme image. 

10 La figure 1 annexee a la description illustre ce 

procede. Les fleches allant de gauche a droite represented une 
transmission du verifie vers le verificateur (identity I, titre 
T, temoin t) et les fleches allant de droite a gauche une 
transmission dans le sens inverse (bit d tire au hasard). Un 

15 tirage au hasard est represents par un cercle associe a un point 
d' interrogation. Le signe € signif ie "appartient a" et les 
nombres entre accolades designent I'ensemble des entiers compris 
entre les deux bornes indiquees, bornes comprises. La comparaison 
finale decidant de I'authenticite de I'accreditation est 

20 schematisee par un signe egal surmonte d'un point 
d'interrogation. Le tirete marque un ensemble d'operations 
effectuees k fois (iteration). 

II a ete propose recemment un procede encore plus 
perfectionne, qui utilise des accreditations multiples. Ce 

25 procede a ete decrit dans la communication de Amos FIAT et Adi 
SHAMIR, publiee dans le Compte Rendu de CRYPTO' 86, Santa 
Barbara, CA, USA, August 1986, communication intitulee : "How to 
Prove Yourself : Practical Solutions to Identification and 
Signature Problems", Springer Verlag, lecture Notes in Computer 

30 Science, N°263, pp. 186-194. 

En notant dans la carte plusieurs accreditations, on 
augmente I'efficacite du traitement, et on reduit le nombre 
d' iterations necessaires pour atteindre un niveau donne de 
securite vis-a-vis de la chance laissee au bluffeur. Dans cette 

35 methode de diversification, on produit n identites diversifiees 
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11, In qui, complies par Leurs ombres, donnent n identites 

diversifiees ombragees J1, Jn. La carte contient les n 

accreditations inverses B1, Bn qui verifient Les relations 
Ji.Bi P mod K=1. 

5 Dans ce procede, que I'on notera FS, chaque traitement 

ou iteration devient alors le suivant (en prenant 2 pour exposant 
public) : 

- la carte tire au hasard un element r dans I'anneau 
• des entiers modulo N, puis transmet au verificateur 128 bits du 

10 carre de cet element en guide de titre T ; 

- le verificateur tire au hasard un mot de n bits soit 
b1, bn, qu'il transmet a la carte ; 

- la carte calcule alors le produit de I'element r par 
les accreditations inverses designees par les bits a "1" dans le 

15 mots de n bits b1, bn. Et la carte transmet en guise de 
temoin la valeur t ainsi obtenue : 

t=r.(b1.B1-b1+1) (bn.Bn-bn+1) mod N 

- le verificateur teste ce temoin t en I'elevant au 
carre dans I'anneau, puis en multipliant ce carre par les 

20 identites ombragees diversifiees designees par les bits a "1" du 
mot de n bits, 

soit : t P .(b1.J1-b1+1). ... .Cbn.Jn-bn+1) mod N 
L'authenticite est prouvee si I'on retrouve les bits 
publies du titre T. 
25 N'importe qui pourrait tirer au hasard un temoin t, 

puis, dans I'anneau, elever au carre ce titre et multiplier par 
une selection d'identites diversifiees pour constituer apres coup 
un titre T. En effet, en donnant ce titre au debut du traitement, 
si la question posee est bien la selection escomptee, alors le 
30 temoin t est une reponse acceptable qui authentifie la carte. 

II y a done bien une stategie gagnante pour le devin 
qui connaU a I'avance le tirage du verificateur. 

Pour passer avec succes une iteration, le bluffeur 
doit, cette fois, deviner un mot de n bits et non plus un seul 
35 bit comme dans le procede GMR. Si les 2° va leurs sont 
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equiprobables, le produit de la multiplicite des accreditations 

(n) par le nombre des iterations <k> reduit exponent ie I lement les 

chances laissees eu bluffeur. Le facteur de security de la 
k.n 

transaction d'authentif ication est alors 2 

5 A chaque iteration, le verifi£ transmet par exemple 128 

bits (par exemple un quart des 512 bits) et un element de 
I'anneau, et le verificateur transmet n bits. A chaque iteration, 
le verificateur et la carte calculent un carri et font un nombre 
de multiplications egal au nombre de bits a "1" dans le mot de n 

10 bits (poids de HAMMING). 

Comme autre compromis entre efficacite de I'iteration 
et nombre maximum de multiplications a effectuer durant 
I'iteration on peut limiter le nombre de bits a 1 dans le mot de 
n bits. 

15 On pourra consulter a propos de cette technique, le 

compte rendu de la communication de Amos FIAT et Adi SHAMIR au 
"5e Congres Mondial de la Protection et de la Sdcurite 
Informatique et des Communications" qui s'est tenu a Paris les 4- 
6 Mars 1987 sous le titre "Unforgeable Proofs of Identity". 

20 La figure 2 annexee i I lustre schematiquement ce procede 

FS, avec les mimes conventions que pour la figure 1. 

Ces procedes d'authentif ication d'accreditation peuvent 
se transposer aisement a I'authentifi cation d'un message 6mis par 
une' entite cens^e €tre accreditee. Dans ce cas, le titre T 

25 transmis par le verifie n'est plus forme uniquement par r P mod N, 
comme dans le cas precedent, mais aussi par le message m a 
authentif ier. Plus preciseroent, le resultat par une fonction de 
compression, notee f, dont les arguments sont m et r P mod N. 

Les figures 3 et 4 schematisent ces procedes dans le 

30 cas des techniques S et FS. 

Enfin, ces techniques peuvent ega lement servir a signer 
un message. La fonction de compression joue alors le r6le assigne 
au tirage du verificateur. Plus precisement, dans le procede de 
type S, le signataire tire k elements r dans I'anneau des entiers 

35 modulo N, soit r1, r2, rk, qui vont jouer le role des 
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differents r tires au cours des k iterations. Le signataire eieve 
ces entiers au carre mod N et calcule la fonction de compression 
f(m, r mod N, ... rk mod N) ce qui fournit un nombre D ayant 
pour bits d1, d2, dk. Chaque bit di de ce nombre joue le 

5 role que jouait le bit tire au hasard dans le procede 
d'authentification d'accreditation decrit plus haut. Le 
signataire forme alors k titres ti=riB dl mod N, avec i=1,2...k. 
Le message signe est alors constitue par un multiplet forme par 
m, I, d1, dk, t1, tk. 

10 Pour verifier un tel message signe on 6leve au carrf 

les titres ti modulo K et on multiplie chaque carre par J dl 
"°2 U d1 N " ° n calcule 2 en | uite La fonction de compression f(m, 
t1 J mod N, tk J mod N) et I'on compare le resultat 
obtenu avec le nombre 0, soit avec les bits d1, d2, dk. 

15 tans I'application a la signature de messages, le 

nombre k est plus grand que dans I'authentif ication. II est de 
I'ordre de 60 a 80. En effet, la verification ne s'effectue plus 
en temps reel et le fraudeur a done tout son temps pour e laborer 
une fausse signature. 

20 Les figures 5 et 6 schematised ce procede dans le cas 

des techniques S et FS. Si toutes ces techniques de I'art 
anterieur conviennent bien en theorie, elles presentent cependant 
des inconvenients du point de vue pratique. En particulier, la 
methode FS, avec la multiplicity de ses accreditations, consomme 

25 un espace memoire important. Par ailleurs, la necessite 
d'effectuer une repetition des traitements allonge la duree des 
^changes. Enfin, la multiplicite des temoins allonge les 
informations a ajouter a un message pour le signer. 

La pr£sente invention a justement pour but de remedier 

30 a cet inconvenient. A cette fin elle preconise une technique 
utilisant une seule accreditation (et non plus des accreditations 
multiples) et un seul traitement (et non plus une repetition de 
traitements) . 

De facon plus precise, la presente invention a d'abord 
35 pour objets un procede d'authentification d'une accreditation et 
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un procede d'authentif ication d*un message, procedes qui mettent 
tous deux en oeuvre, d'une part, L'eLaboration d'une 
accreditation basee sur le systeme a cle publique et, d'autre 
part, une preuve a apport nul de connaissance ; 
5 a) pour ce qui est de I'operation d'elaboration de 

^accreditation, elle comprend Les operations connues 
suivantes : 

- une autorite habilitee a delivrer des accreditations 
choisit deux nombres premiers, forme Le produit (N) de ces 

10 deux nombres, tient secrets ces nombres qui constituent alors 

les facteurs premiers de N, choisit un entier p et publie N et 

p; 

- pour chaque detenteur d'une accreditation, une 
identite numerique I est constituee, puis compLetee par 

15 redondance pour former un mot J appele identite ombragee, 

- une accreditation A est etaboree par t'autorite en 
prenant la racine pieme de L'identite ombragee dans I'anneau 
des entiers modulo N, <A P mod N=J), 

- dans un support approprie contenant une memoire, 

20 I'autorite charge I'inverse modulo N de I'accreditation A, 

soit un nombre B appele accreditation inverse (B n j mod N=1), 
ce nombre B constituant ^accreditation qu'il s'agit 
d'authentifier ; 

b) pour ce qui est de I'authentif ication de ^accreditation ainsi 
25 elaboree, cette operation consiste, de maniere elle aussi 

connue, en un processus numerique interactif et probabiliste 
du type a apport nul de connaissance et s'etablissant entre un 
support contenant une accreditation, support appele "le 
verifie" et un organe d'authentif ication appele "le 
30 verificateur", ce processus comprenant au moins un traitement 

numerique constitue par les operations connues suivantes : 

- le verifie tire d'abord au hasard un entier r 
appartenant a I'anneau des entiers modulo N, 

- le verifie eieve cet entier r a la puissance p modulo 
35 N, le resultat etant appele titre T, 
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- le verifie delivre alors au moins une partie des bits 
du titre T, 

- le verificateur tire ensuite au hasard un nombre E> 

et demande au verifi* d'effectuer certaines operations sur r 
5 et sur ['accreditation inverse B, ces operations etant liees 

au nombre D tir£ au hasard par le verificateur et effectuees 
dans I'anneau des entiers modulo II, 

- le verifig delivre au verificateur un nombre t, 
appele temoin, resultat de ces operations, 

10 - le verificateur effectue a son tour des operations 

portant sur le temoin t delivr6 par le verifie et sur 
I'identite ombragee J du verifie, operations liees elles aussi 
au nombre D tir£ au hasard par le verificateur et effectuees 
dans I'anneau des entiers modulo N, 

15 - le verificateur compare le resultat ainsi obtenu 

avec Les bits du titre T que le verifie a delivre en debut de 
processus de verification, et admet I'authenticite de 
^accreditation s'il retrouve ces bits. 

Le procede d'authentifi cation d'accreditation selon 

20 I'invention est caracterise par le fait que : 

a) lors de I'elaboration de I'accreditation CB) le nombre p 
servant a extraire la racine p ieme de I'identite ombragee (J) 
est choisi grand et comprend au moins une dizaine de bits, 

b) pour I'authentification de ^accreditation le processus ne 

25 comprend qu'un seul traitement interactif et probabiliste (et 

non une repetition d'un tel traitement), ce traitement unique 
consistant dans les operations suivantes : 

- le nombre que le verificateur tire au hasard est un 
entier D compris entre 0 et p-1 Cbornes incluses), 

30 ~ L'ope>ation que le verifie effectue pour deiivrer un 

temoin t est le produit, dans I'anneau des entiers modulo N, 
de L'element r qu'il a lui ra§me tire au hasard, par la 
puissance Dieme de I'accreditation inverse B, le titre etant 
alors t=r.B mod N, 

35 ~ t-es operations qu'effectue le verificateur sont le 



16 



2620248 



produit, dans L'anneau des entiers modulo N, de la puissance p 

ieme du temoin t par la puissance D ieme de I'identite 
P 0 

ombragee J, soit t J mod N, 

- I'operation de comparaison effectuee par le 

5 verificateur porte slors sur les bits du titre T delivres par 

le verifie et sur les bits obtenus par I'operation precedente, 
I'authenticite de I'accreditation etant ecquise en un seul 
traitement des lors que tous les bits du titre d6livre par le 
verifie sont retrouves par le verificateur dans t P J° mod N. 
10 Pour ce qui est du procede d'authentif ication de 

message, le procede selon I'invention est caracteris<§ par le -fait 
que : 

a) lors de I'elaboration de ^accreditation du donneur d'ordre, 
le nombre p servant a extraire la racine p ieme de I'identite 

15 ombragee est choisi grand et comprend au moins une dizaine de 

bits, 

b) pour I'authentif ication du message, le processus ne comprend 
qu'un seul traitement interactif et probabiliste (et non une 
repetition d'un tel traitement), ce traitement unique 

20 consistant dans les operations suivantes : 

- le nombre que le verificateur tire au hasard est un 
entier D compris entre 0 et p-1 Cbornes incluses), 

- I'operation que le verifie effectue pour deiivrer le 
temoin t est le produit, dans l'anneau des entiers modulo N, 

25 de I'eiement r qu'il a lui m§me tire, par la puissance Dieme 

de ^accreditation inverse B, le temoin etant alors r.B D mod 
N, 

- les operations qu'effectue le verificateur sont le 
produit, dans l'anneau des entiers modulo N, de la puissance p 

30 ieme du temoin t, par la puissance D ieme de I'identite 

ombragee J, 

- le verificateur forme la fonction de compression du 
message et du resultat des operations precedentes soit fCm, t P 
J mod K), 

35 - la comparaison que le verificateur effectue porte 
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alors sur la fonction de compression qu'il a obtenue et sur le 
titre T que Le verifie lui a delivre en debut de processus de . 
verification, l' authenticity du message etant acquise en un 
seul traitement des Lors que, a la fin de ce traitement, il y 
a correspondence entre tous tes bits de La fonction de 
compression obtenue par le verificateur et les bits du titre 
delivres par Le verifie. 

L'invention a enfin pour objet un procede de signature 
de message. Dans ce cas L'accreditation du signataire est 
elaboree selon le procede connu a cle publique decrit pLus haut 
et La signature consiste en un traitement numerique probabiliste 
connu corcprenant les operations suivantes : 

- le signataire tire au hasards au moins un entier r 
appartenant a I'anneau des entie fi modulo N, 

- le signataire lleve cet enti.r r a li puissance p 
modulo N, 

- le signataire calcule une fonction de compression f 
en prenant comme arguments le message m a signer et la 
puissance r mod N obtenue, 

- le signataire forme au moins un temoin t en 
effectuant certaines operations sur r et sur ^accreditation 
inverse B, ces operations etant liees au nombre D tire au 
hasard et etant effectuees dans I'anneau des entiers modulo N, 

- le signataire transmet le message m, son identite I, 
le mot D, le ou les temoins t, I'ensemble constituent un 
message signe. 

Le procede de signature de message selon l'invention 
est caracterise par le fait que : 

a) Lors de I'elaboration de ^accreditation du signataire le 
nombre p servant a extraire la racine p ieme de l' identite 
ombragee est choisi grand et comprend plusieurs dizaines de 
bits, 

b) pour I'operation de signature du message : 

- le signataire ne tire au hasard qu'un seul entier r 
appartenant a I'anneau des entiers modulo N, 
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- la fonction de compression a pour arguments le 
message m et La puissance p ieme de r, ce qui fournit un 
nombre D, 

- Le titre unique produit par le signataire est le 

5 produit, dans L'anneau des entiers modulo N, de L'entier r par 

la puissance D ieme de I'accreditation inverse B, 

- le signataire fournit, avec le message m, son 
identite I, le mot D et le titre t. 

Dans les deux premiers precedes, Le nombre p comprend 
10 au moins 10 bits et de preference entre 16 et 24 bits. 

Dans le procede de signature Le nombre p est plus grand 
et comprend plusieurs di2aines de bits, par exemple de 60 a 80 
bits. 

La valeur de p est en effet le facteur de securite d'un 
15 traitement elementaire. Si p est convenable pour le but recherche 
alors qu'on ne dispose que d'une seule accreditation profonde, on 
peut se contenter d'un seul traitement. 

De toute facon I'invention sera mieux comprise a la 
lumiere de la description qui va suivre, qui se refere a des 
20 dessins annexes. Ces dessins comprennent : 

- les figures 1 a 6, deja decrites, qui illustrent les 
procedes S et FS de I'art anterieur ; 

- la figure 7 illustre le procede d'authentif ication 
d'une accreditation selon I'invention ; 

25 ~ L a figure 8 illustre le procede d'authentif ication de 

message selon I'invention ; 

- la figure 9 illustre le procede de signature de 
message selon I'invention ; 

- la figure 10 montre schematiquement un ensemble 
30 permettant de mettre en oeuvre les procedes de I'invention. 

Les conventions uti Usees dans les figures 7 a 9 sont 
les mimes que celles des figures 1 a 6. Dans tous les cas 
I'accreditation est obtenue par I 'uti Lisation d'un nombre p qui 
est grand. Les inventeurs qualifient cette accreditation de 
35 "profonde" par opposition aux accreditations habituelles 
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utilises dans ce domaine pour lesquelles p etait de I'ordre de 2 
ou 3 et qui sont, en quetque sorte "superf icielles". 

Dans Le cas des cartes a puce on a done, dans Le cas de 
L' invention, le traitement suivant : 
5 - La carte tire au hasard un element r <1<r<N-1) dans 

I'anneau des entiers modulo N, et donne en guise de titre T 128 
bits de la puissance publique de cet element Cr P mod N) ; 

- le verificateur tire au hasard un exposant D de 0 a 
p-1 et le transmet a la carte ; 

10 - la carte calcule le temoin t qui est le produit (dans 

I'anneau) de I'element r par la puissance D ieme de 
^accreditation B (t=r.B mod N) ; 

- le verificateur calcule dans I'anneau le produit de 
la puissance p ieme du temoin t par la puissance D ieme de 

15 I'identite ombragee J, soit t P .J D mod N. 

La preuve est acceptee si tous les bits publies du 
titre T sont ainsi retrouves. 

N'importe qui ayant devine la question du verificateur 
(lexposant D) peut tirer au hasard un temoin t, puis faire a 

20 I'evance les calculs du verificateur, e'est-a-dire faire le 
produit dans I'anneau du temoin t a I'exposant p par I'identite 
ombragee J a I'exposant 0. En donnant le titre T au debut de 
L'iteration, si la question posee est bien D, alors le temoin t 
est une reponse acceptable. 

25 Ce raisonnement indiquant une strategic gagnante pour 

le devin montre que I'on ne sait pas distinguer des donnees 
provenant de L'enregistrement d'une transaction reussie et des 
donnees provenant d'une mascarade construite en inversant la 
chronologie de l'iteration, e'est-a-dire en choisissant les 

30 exposants avant les titres. Le verificateur recueille des 
informations impossibles a distinguer de celles qu'il aurait pu 
produire tout seul, sans interaction avec le verifie, ce qui 
montre que I'accreditation reste bien secrete dans la carte. 

Pour passer avec succes un traitement 

35 d'authentification, le bluffeur doit deviner un exposant D. Si 
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les p valeurs de D sont 4quiprobabl.es, la chance laissee au 
bluff eur est de 1/p. Le facteur de securite est done p. 

Dans un tel traitement le verifie transmet une centaine 
de bits et un element de I'anneau ; le verificateur transmet un 
5 exposant (D). Pour mener a bien un traitement le verifie calcule 
d'abord la puissance publique de I'element r tir£ au hasard, puis 
le produit de cet element r par la puissance D ieme de 
^accreditation B. Le verificateur fait un peu moins de calcul 
pour retrouver le titre T car il peut combiner intelligemment les 
10 calctls de puissance : la puissance Dieme de I'identite ombragee 
J et la puissance pieme du temoin t. 

Si I'exposant p vaut 2 , alors L'exposant D est un 
nombre de 16 bits. Ainsi en un seul traitement, avec un facteur 
de securite de 2 , soit 65536, le verifie calcule dans I'anneau 
15 16 carres, puis 16 carres et une moyenne de 8 multiplications. Le 
verificateur ne calcule que 16 carres et procede en moyenne a 8 
multiplications. 

Le procede d'authentif ication de message est illustre 
sur la figure 8 avec les mSmes conventions, la difference avec la 
20 figure 7 consistent uniquement dans la formation de la fonction 
de compression f. 

Pour signer un message, le detenteur de ^accreditation 
B de profondeur p commence par tirer au hasard un element r dans 
I'anneau puis calcule la puissance publique de I'element r(r P mod 
25 N). Puis il produit un exposant D grSce a la fonction de 
compression f appliquee 'a la concatenation du message m et de la 
puissance publique de I'element r. Le temoin t est le produit de 
I'element r par la puissance Dieme de I'accreditation B. Le 
message signe est la concatenation de I'identite I, du message m, 
30 de I'exposant d et du temoin t. 

Pour verifier une signature, le verificateur calcule 
dans I'anneau le produit du temoin t a la puissance p par 
I'identite ombragee J (reconstruite a partir de I'identite 
proclamee I) a la puissance to pour reconstituer ce qui doit etre 
35 la puissance publique de I'element r. Enfin, le verificateur doit 
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retrouver L'exposant D en appliquant La fonction f a la 
concatenation du message m et de la puissance publique 
reconstitute. 

C'est ce qui est illustrt sur La figure 9. 

5 Si p s'tcrit sur 64 bits quelconques, Le signataire 

fait environ 192 multiplications dans I'anneau Cil doit calculer 
successivement deux puissances avec des exposants de 64 bits sans 
pouvoir les combiner) pour mener a bien L'operation. Cette 
compLexite est deja nettement inferieure a celLe du proctdt RSA : 

10 76B multiplications en moyenne pour une exponentielle modulo un 
nombre compost sur 512 bits, et 1536 pour un nombre compost sur 
1024 bits. 

Si p s'tcrit sur 64 bits quelconques, le verificateur 
fait seulement environ 112 multiplications, car il combine ses 
15 operations en 64 carrts et trois fois 16 multiplications en 
moyenne, pour calculer d'un seul coup t P .J D mod N. II est heureux 
que I'authentification soit plus simple que I'tlaboration de la 
signature, car chaque signature est appelee a Stre verifiee 
plusieurs fois. 

20 Mais, on peut choisir 2 (c'est-a-dire une puissance 

de 2) comroe exposant p pour simplifier les calculs, sans modifier 
la securite du systeme. L'elevation a la puissance p se fait 
alors par 64 carrts. L'exposant D est un nombre de 64 bits. La 
signature se fait alors en 160 multiplications. La verification 

25 d'une signature se traduit en moyenne par 96 multiplications dans 
I'anneau, soit 12,5X da RSA a 512 bits et 6,2% du RSA a 1024 
bits. 

Dans le proctdt anttrieur FS decrit plus haut, avec 64 
accreditations multiples dans la m§me carte, il faut un carre et 

30 une moyenne de 32 multiplications. Ainsi, la methode de 
I'invention a accreditation profonde, se paye par un surplus de 
calculs d'un facteur multiplicatif de L'ordre de 3. Quand, dans 
I 'art anterieur, on se limite a 8 accreditations dans La carte, 
avec 8 temoins dans la signature, (8 iterations a 5 

35 multiplications, soit 40 multiplications), le rapport diminue 
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encore un peu, en faveur de ['invention. 

Bien entendu, on peut aussi choisir 2 64 +1 conme 

exposant public (c'est-a-dire un nombre impair). Au prix d'une 

seute multiplication supplemental" re pour calculer une puissance 
5 publique, on leve ainsi certaines restrictions relatives aux 

residus quadratiques dans I'anneau (lorsque I'exposant p est 

pair, plusieurs elements de I'anneau pouvant correspondre a la 

racine pieme, mais un seul convenant). 

La figure 10 reprisente schematiquement un calculateur 
10 permettant de mettre en oeuvre I'invention. 

Le calculateur represent* comprend une interface 

entrees-sorties ES, une unit* centrale UC, une memoire 

programmable du type a lecture seulement (PROM), une memoire a 

lecture seulement (ROM) et une memoire a acces direct (RAM). Le 
15 calculateur comprend encore un organe G du type gene>ateur de 

bruit ou gene>ateur aleatoire. 

L'accreditation et les informations d'identite 

inscrites dans la memoire PROM sont inaccessibles de l'exte>ieur. 

Les programmes sont inscrits dans la memoire ROM. La memoire RAM 
20 sert a stocker des resultats de calcul. Le gSnerateur G est 

utilise pour les tirages au sort des divers nombres intervenant 

dans le proc^de (r, D) . 

L'unite centrale et les memoires peuvent §tre 

structurees comme le microcalculateur autoprogrammable 
25 monolithique decrit dans le brevet 4,382,279 des Etats-Unis 

d'Amerique. 

La fonction de compression peut faire appel a 
I'algorithme DES (Data Encryption Standard). II existe une carte 
a puce, fabriqu£e par PHILIPS qui realise cet algorithme DES. 
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REVENMCATIONS 
1. Procede d'authentification d'une accreditation a 
apport nul de connaissance, 

a) cette accreditation ayant ete eiaboree par un procede du type 
a cle publique comprenant Us operations suivantes : 

- une autorite habilitee a deiivrer des accreditations 
choisit deux norabres premiers, forme te produit (N) de ces 
deux nombres, tient secrets ces nombres, choisit un entier p 
et publie N et p; 

- pour chaque detenteur d'une accreditation, une 
identite numerique I est constituee, puis compietee par 
redondance pour former un mot J appeie identite ombragee, 

- une accreditation A est eiaboree par I'autorite en 
prenant La racine pieme de LHdentite ombragee dans I'anneau 
des entiers modulo N (A = J 1/p mod N>, 

- dans un support approprie contenant une memoire, 
I'autorite charge I'inverse modulo N de ^accreditation A soit 
un nombre B appeie accreditation inverse (b"j mod N=1>, ce 
nombre B constituant . ^accreditation qu'il s'agit 
d'authentifier, 

b) I'authentification de ^accreditation ainsi eiaboree, 
consistent en un processus numerique interactif et 
probabiliste du type a apport nul de connaissance et 
s'etablissant entre un support contenant une accreditation, 
support appeie "le verifie" et un organe d'authentif ication 
appeie "le verif icateur", ce processus comprenant au moins un 
traitement numerique constitue par les operations connues 
suivantes : 

- le verifie tire d'abord au hasard un entier r 
appartenant a I'anneau des entiers modulo N, 

- le verifie eieve cet entier r a la puissance p modulo 
N, le resultat etant appeie titre T, 

- le verifie delivre alors au moins une partie des bits 
du titre T, 
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- le verificateur tire ensuite au hasard un nombre (d) 
et demande au verifie d'effectuer certaines operations sur r 
et sur I'accreditation inverse B, ces operations etant liees 
au nombre (d) tire au hasard par Le verificateur et effectuees 
dans I'anneau des entiers modulo N, 

- le verifi* delivre au verificateur un nombre t, 
appele temoin, r*sultat de ces operations, 

- le verificateur effectue a son tour des operations 
portant sur le temoin t delivre par Le verifid et sur 
I'identite ombragee J du verifie, operations liees elles aussi 
au nombre d tire au hasard par le verificateur et effectuees 
dans I'anneau des entiers modulo N, 

- le verificateur compare le r^sultat ainsi obtenu " 
avec les bits du titre T que le verifie a delivre en debut de 
processus de verification, et admet I'authenticite de 
I'accreditation s'il retrouve ces bits, 

ce procede etant caracterise par le fait que : 

a) tors de I'elaboration de I'accreditation <B> le nombre p 
servant a extraire la racine p ieme de I'identite ombragee <J> 
est choi si grand et comprend au moins une dizaine de bits, 

b) pour I'authentification de I'accreditation le processus ne 
comprend qu'un seul traitement interactif et probabiliste (et 
non une repetition d'un tel traitement), ce traitement unique 
consistant dans les operations suivantes : 

- le nombre que le verificateur tire au hasard est un 
entier D compris entre 0 et p-1 (bornes incluses), 

- I'operation que le verifie effectue pour delivrer un 
temoin t est le produit, dans I'anneau des entiers modulo N, 
de I 'element r qu'il a lui mfme tire au hasard, par la 
puissance Dieme de ^accreditation inverse B, le titre etant 
alors t=r.B mod N, 

- les operations qu'effectue le verificateur sont le 
produit, dans I'anneau des entiers modulo N, de la puissance p 
ieme du temoin t par la puissance D ieme de I'identite 
ombragee J, soit t P J mod N, 
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- I'operation de comparaison effective par le 
verificateur porte alors sur Les bits du titre T delivres par 
le verifie et sur les bits obtenus par I'operation precedente, 
I'authenticite de ^accreditation 6tant acquise en un seuL 

5 traitement des lors que tous les bits du titre delivre par le 

verifie sont retrouves par le verificateur dans t P J D mod N. 

2. Procede d'authentif ication d'un message, ce message 
provenant d'un donneur d'ordre cense 8tre accredite : 

a) I 'accreditation d'un donneur d'ordre consistant en un mot 

10 numerique B obtenu par un procede a cle publique comprenant 

les operations suivantes : 

- une autorite habilitee a delivrer des accreditations 
choi sit deux nombre premiers, forme le produit N de ces deux 
nombres, tient secrets ces deux nombres, choisit un entier p 

15 et publie N et p, 

- pour chaque donneur d'ordre une identite numerique I 
est const ituee puis completee par redondance pour former un 
mot J appele identite ombragee, 

- une accreditation A est elaboree par I'autorite en 
20 prenant la racine p ieme de I 'identite ombragee J dans 

I'anneau des entiers modulo N, (A = J 1/p mod N), 

- dans un support approprie detenu par le donneur 
d'ordre I'autorite charge I'inverse modulo N de 
I'accreditation A, soit un nombre B appele accreditation 

25 inverse <B J mod N=1), 

b) I'authentif ication d'un message (m) emis par un donneur 
d'ordre ainsi accredite consistant en un processus numerique 
interactif et probabiliste du type a apport nul de 
connaissance et s'etablissant entre le support du donneur 

30 d'ordre cense accredite et appele "le verifie" et un organe de 

verification appele "le verificateur", ce processus comprenant 
au moins un traitement numerique constitue par les operations 
suivantes : 

- le verifie tire d'abord au hasard un entier r 
35 appartenant a I'anneau des entiers modulo N, 
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- le verifie eleve cet entier r a la puissance p modulo 
N et calcule un resultat par une fonction de compression en 
prenant comme argument le message n et r P mod N, soit f Cm, r P 
mod N), le resultat etant appele titre T, 

5 - le verifi6 d6livre alors au noins une partie des bits 

de titre T, 

- le verificateur tire ensuite au hasard un nombre d et 
demande au verifi£ d'effectuer certaines operations sur r et 
sur ^accreditation inverse B, ces operations etant liees au 

-IQ nombre d tire au hasard par le verificateur et etant 

effectuees dans I'anneau des entiers modulo N, 

- le verifie fournit au verificateur un nombre t, 
appele temoin, resultat de ces operations, 

- le verificateur effectue a son tour des operations 

15 portant sur le temoin t delivre par le ve>ifie et sur 

l'identit£ ombragee J du verifie, operations li£es elles aussi 
au nombre D tire au hasard par le verificateur et effectuees 
dans I'anneau des entiers modulo N, 

- le verificateur forme une fonction de compression en 
2 q prenant comme arguments le message a authentifier m et le 

resultat des operations precedentes, soit flm, t, J), 

- le verificateur compare la fonction de compression 
obtenue avec le titre T que le verifie a delivre en debut de 
processus de verification, 

25 ce processus etant caracterisS par le fait que : 

a) lors de I 'elaboration' de I'accreditation du donneur d'ordre, 
le nombre p servant a extraire la racine p ieme de I'identite 
ombragee est choisi grand et comprend au moins une dizaine de 
bits, 

30 b) pour I'authentif ication du message, le processus ne comprend 
qu'un seul traitement interactif et probabiliste (et non une 
repetition d'un tel traitement), ce traitement unique 
consistent dans les operations suivantes : 

- le nombre que le verificateur tire au hasard est un 
35 entier D compris entre 0 et p-1 (bornes incluses), 
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- I'operation que le ve>ifi6 effectue pour delivrer le 
temoin t est le produit, dans I'anneau des entiers modulo N, 
de l'*lement r qu'il a lui »§me tire, par la puissance Dieme 
de I 'accreditation inverse B, le temoin etant alors r.B° mod 
N, 

- les operations qu'effectue le verificateur sont le 
produit, dans I'anneau des entiers modulo N, de la puissance p 
ieme du temoin t, par la puissance D ieme de I'identite 
ombragee J, 

- le verificateur forme la fonction de compression du 
message et du resultat des operations precedentes soit fCm, t P 
J mod N>, 

- la comparison que le verificateur effectue porte 
alors sur la fonction de compression qu'il a obtenue et sur le 
titre T que le verifie lui a delivre en d£but de processus de 
verification, I'authenticite du message etant acquise en un 
seul traitement des lors que, a la fin de ce traitement, il y 
a correspondence entre tous les bits de la fonction de 
compression obtenue par le verificateur et les bits du titre 
delivres par le verifie. 

3. Procede de signature d'un message par une entite, 
cette entite etant censee etre accreditee, 

a) ^accreditation d'une entite signataire de messages ayant ete 
elaboree par un procede a cle publique comprenant les 
operations suivantes : 

- une autorite h.abilitee a delivrer des accreditations 
choisit deux nombres premiers, forme le produit N de ces deux 
nombres, tient secrets les deux nombres premiers, choisit un 
entier p et pub lie N et p, 

- pour chaque entite signataire une identite numerique 
I est constitute puis completee par redondance pour former un 
mot J appeL£ identite ombragee, 

- une accreditation A est elaboree par L'autorite en 
prenant la racine p ieme de I'identite ombragee J dans 
I'anneau des entiers modulo N (A = J 1/f> mod N), 
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- dans un support approprie detenu par le signataire 
I'autorite charge IMnverse modulo N de I 'accreditation A, 
soit un nombre B appele accreditation inverse <B P J mod N=1>, 

b) la signature d'un message m par un signataire d 1 identite I 
5 consistant en un traitement numerique probabiliste comprenant 

les operations suivantes : 

- le signataire tire au hasard au moins un entier r 
appartenant a I'anneau des entiers modulo N, 

- le signataire eleve cet entier r a la puissance p 
10 modulo N, 

- le signataire calcule une fonction de compression f 
en prenant comme arguments le message m a signer et La 
puissance r P obtenue, 

- le signataire forme au moins un temoin t en 

15 effectuant certaines operations sur r et sur I 'accreditation 

inverse B, ces operations etant liees au nombre d tire au 
hasard et etant effectuees dans I'anneau des entiers modulo. N, 

- le signataire transmet le message m, son identite I, 
le mot d, le ou les temoins t, I'ensemble constituant un message 

20 signe, 

ce procede etant caracterise par le fait que : 

a) lors de I'elaboraton de ^accreditation du signataire le 
nombre p servant a extraire la racine p ieme de L'identite 
ombragee est choisi grand et comprend plusieurs dizaines de 

25 bits, 

b) pour I'operation de signature du message : 

- le signataire ne tire au hasard qu'un seul entier r 
appartenant a I'anneau des entiers modulo N, 

- la fonction de compression a pour arguments le 

30 message m et la puissance p ieme de r, ce qui fournit un 

nombre D, 

- le temoin unique produit par Le signataire est le 
produit, dans I'anneau des entiers modulo N, de I 'entier r par 
la puissance D ieme de ^accreditation inverse B, 

35 ~ Le signataire fournit, avec le message m, son 

identite I, le mot D et Le temoin t. 



1/5 



2620248 





2620248 



3/5 



f© ©■•©' 



FIG. 5 



f(m, r 1 mod N, r k mod N) = D= d^... d R 
t i =r i B d i mod N 



M=m,I,d r ..d k ,t r ..t k 



f(m, t, 2 J dl mod N, ... t, 2 J dk mod N) = d1...dk 
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J=Red(I) b p .J mod N=1 




© ? rC{0,1,...N-l| 



T=r p mad N 




(5) ? DC{0,1,... P -1J 
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f(m,t p J D mod K)l T 



FIG. 8 
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FIG 9 
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D=f(m,r p mod N) 



M=m s I,D,t 
f(M,t p J D mod U)h 
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